Politique de confidentialité
Dernière mise à jour :
1. Responsable de traitement
Conformément au Règlement Général sur la Protection des Données (RGPD, art. 4.7), le responsable de traitement est :
Adel Mediouni — Entrepreneur individuel (EI), éditeur de gestamat.fr
SIRET : 790 166 516 00027
Adresse : 22 C rue de la Chaussée, 49125 Tiercé
Email DPO : dpo@gestamat.fr
Le rôle de Gestamat s'apprécie par traitement, conformément aux lignes directrices de la CNIL de 2021 sur les notions de responsable et de sous-traitant. Gestamat cumule deux qualités selon la finalité concernée :
- • Responsable de traitement pour les traitements liés à l'exploitation du SaaS : inscription, authentification, facturation Stripe, emails transactionnels, annuaire public, télémétrie produit. Gestamat définit seule les finalités et les moyens de ces traitements.
- • Sous-traitant (RGPD art. 28) de la professionnelle pour les données métier qu'elle saisit ou qui sont générées dans le cadre de son activité d'employeur : familles, enfants, contrats de travail, présences, récapitulatifs de paie. La professionnelle — elle-même particulière employeuse au sens du Code du travail — reste responsable de traitement pour ces données. Gestamat n'agit que sur instruction documentée, conformément au contrat de sous-traitance joint aux CGV.
La durée de conservation, les droits d'accès et les sous-traitants ultérieurs sont détaillés par traitement dans les sections suivantes.
2. Finalités et bases légales des traitements
| Finalité | Base légale |
|---|---|
| Gestion des contrats d'accueil | Exécution du contrat (art. 6.1.b) |
| Calcul de la rémunération et génération des récapitulatifs de paie | Obligation légale (art. 6.1.c) — Code du travail |
| Génération des documents fiscaux (Cerfa 10397) | Obligation légale (art. 6.1.c) — Code général des impôts |
| Messagerie interne parent ↔ professionnel | Exécution du contrat (art. 6.1.b) |
| Facturation et gestion de l'abonnement | Exécution du contrat (art. 6.1.b) |
| Annuaire public des professionnels | Consentement (art. 6.1.a) — opt-in explicite |
| Notifications email transactionnelles | Intérêt légitime (art. 6.1.f) |
| Sécurité et journalisation des accès | Obligation légale (art. 6.1.c) — LCEN |
3. Données personnelles collectées
Professionnels (assistantes maternelles)
Nom, prénom, email, téléphone, adresse postale, SIRET, numéro d'agrément, code postal, département, photo de profil (optionnelle).
Familles (parents employeurs)
Nom et prénom des responsables légaux, email, téléphone, adresse, numéro d'allocataire CAF/MSA.
Enfants accueillis
Nom, prénom, date de naissance.
Données de santé strictement minimisées (RGPD art. 9.2) : pour une absence pour maladie de l'enfant, seuls le régime de durée et l'existence d'un justificatif sont enregistrés — jamais de diagnostic ni la nature de la pathologie ; les restrictions alimentaires déclarées par les parents (allergies, régimes, cadre d'un Projet d'Accueil Individualisé) le sont également. Ces traitements reposent sur les obligations en droit du travail et de sécurité sociale liées au calcul de la paie (art. 9.2.b), sur le consentement parental (art. 9.2.a) et, pour les restrictions alimentaires, sur l'intérêt vital (art. 9.2.h). Aucune autre donnée de santé n'est collectée.
Données de navigation
Adresse IP, logs de connexion, horodatage des actions (journalisation de sécurité uniquement).
4. Destinataires et sous-traitants
Vos données personnelles sont transmises aux sous-traitants suivants, dans le strict cadre des finalités décrites :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Stripe | Paiement et facturation | USA / Irlande | DPA + Clauses Contractuelles Types (CCT) post-Schrems II |
| PlanetHoster | Hébergement | France | DPA hébergeur — aucun transfert hors UE |
| Resend | Email transactionnel | USA / UE | DPA + CCT |
5. Transferts de données hors Union européenne
Certains sous-traitants (Stripe, Resend) traitent des données aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) conformément à la décision de la Commission européenne du 4 juin 2021 et à la jurisprudence Schrems II (CJUE, 16 juillet 2020, C-311/18).
L'hébergement principal (PlanetHoster) est localisé en France. Les données personnelles restent stockées sur le territoire de l'Union européenne.
6. Durées de conservation
Les durées de conservation sont différenciées selon la nature des données et les obligations légales :
| Type de données | Durée | Fondement |
|---|---|---|
| Données comptables (récapitulatifs, documents fiscaux) | 10 ans | Code de commerce, art. L.123-22 |
| Données sociales (présences, bulletins de paie) | 5 ans | Code du travail, art. L.3243-4 |
| Données personnelles (familles, enfants, messages) | 3 ans | Recommandation CNIL — après fin du dernier contrat |
| Logs de connexion | 1 an | LCEN, art. 6-II |
À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible par un processus automatisé. Les récapitulatifs mensuels clôturés ne sont jamais modifiés avant leur suppression.
7. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
-
•
Droit d'accès (art. 15) — obtenir la confirmation du traitement de vos données et en recevoir une copie.
-
•
Droit de rectification (art. 16) — corriger vos données inexactes ou incomplètes.
-
•
Droit à l'effacement (art. 17) — demander la suppression de vos données, sous réserve des obligations légales de conservation.
-
•
Droit à la limitation (art. 18) — demander la restriction du traitement dans certains cas.
-
•
Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré (JSON).
-
•
Droit d'opposition (art. 21) — vous opposer au traitement fondé sur l'intérêt légitime.
Pour exercer ces droits, adressez votre demande à dpo@gestamat.fr. Nous répondrons dans un délai de 30 jours.
Vous pouvez également introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
8. Cookies
Gestamat utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification, jeton CSRF). Aucun cookie de suivi publicitaire, analytique ou de profilage n'est déposé.
Ces cookies étant indispensables à la fourniture du service, ils sont exemptés de consentement conformément à l'article 82 de la loi Informatique et Libertés et à la directive ePrivacy (2002/58/CE).
9. Mesures de sécurité
Gestamat met en œuvre les mesures techniques et organisationnelles suivantes :
- • Chiffrement des communications (HTTPS/TLS)
- • Isolation des données par professionnel (architecture multi-tenant)
- • Hachage des mots de passe (bcrypt)
- • Journalisation des accès et des actions sensibles
- • Purge automatique des données à l'expiration des durées de conservation
- • Hébergement en France (PlanetHoster)
- • Sauvegardes régulières avec chiffrement au repos
10. Modifications de cette politique
Cette politique peut être mise à jour pour refléter les évolutions légales ou fonctionnelles. En cas de modification substantielle, les utilisateurs seront informés par email ou notification in-app. La date de dernière mise à jour figure en haut de cette page.